DSGVO analog: Ab in den Reißwolf?

Autor: Florian Eismann
44 likes

Vor lauter digital den Datenschutz analog nicht vergessen!

DSGVO – aufgepasst: Das große “D” ganz am Anfang steht nicht für “Digital”, sondern für “Datenschutz”. Eigentlich wenig überraschend. Aber wenn man die Debatten der vergangenen Monate beobachtet, dann dreht sich dort fast alles um den Datenschutz in der digitalen Welt. Bedenken in der analogen Welt bleiben außen vor. Zu unrecht. Denn die datenschutzrechtliche Archivierung, Bearbeitung und Löschung der traditionellen Briefpost ist noch komplexer als die digitaler Dokumente. Analog lauern Gefahren überall. Ein Überblick, worauf Unternehmen besonders achten müssen.

Das Problem beginnt meist schon ganz am Anfang: Ein Brief geht am Empfang ein. Hört sich zunächst alles harmlos an. Aber wie so oft liegt der, in diesem Fall datenschutzrechtlich relevante, Teufel im Detail. Denn: Wie stellen Unternehmen sicher, dass keine Unbefugten Einsicht in die Dokumente haben? Was passiert mit vertraulichen Dokumenten auf dem Weg zum eigentlichen Adressaten? Ein typischer Fehler bei analogen Dokumenten: Häufig liegt der Brief einfach so, im schlimmsten Fall auch noch geöffnet, im Posteingang rum.

Eine E-Mail nimmt erst gar nicht den Umweg über den Empfang. Sie landet direkt beim eigentlich gemeinten Adressaten. Nur derjenige, der das Passwort kennt, kann an ihre Inhalte und die enthaltenen persönlichen Daten gelangen. Ein Gefahrenherd weniger. Und wie lautet das in der Geschäftswelt leider viel zu oft gültige Gesetz von Murphy noch gleich? Was schief gehen kann, geht auch schief.

Risikominimierung ist daher beim Umgang mit datenschutzrechtlichen Informationen oberstes Gebot. Aber viele Unternehmen schludern mit ihren haptisch greifbaren Unterlagen. So werden etwa Bewerbungsunterlagen häufig länger aufbewahrt als eigentlich nötig. Da sind wir auch schon bei weiteren Risikopunkten: Aufbewahrung und Umgang. Dies hat der Gesetzgeber klar geregelt. Unternehmen müssen der Vorratsdatenspeicherung entgegenwirken. Dafür sorgen Verordnungen, Gesetze, Vorgaben.

Nun möchten wir Unternehmenslenkern keine bösen Absichten zu unterstellen, aber viele verlieren schlichtweg schnell den Überblick, wenn es darum geht, auf Nummer sicher zu gehen. Wie lange darf ich diesen Brief aufheben und jenes Schreiben? Dabei lassen sich viele Stolpersteine mithilfe einer einfachen Faustregel umgehen – der gesunde Menschenverstand hilft weiter: Wenn es keinen Zweck aufgrund beidseitiger berechtigter Interessen mehr gibt, müssen die Daten gelöscht werden. Die Herausforderung liegt nun vor allem in der operativen Umsetzung. Woher wissen wir, wann der Zweck entfallen ist und wie stellen wir sicher, dass entsprechende Dokumente schlussendlich auch gelöscht werden?

Auch dies ist in der digitalen Welt einfacher zu regeln: Reminder können direkt im Zusammenhang mit einer E-Mail oder im CRM gesetzt werden. Wünscht eine Person Einsicht und Löschung in die von ihr gespeicherten persönlichen Daten, ist dies dank Suchmaske und Filterfunktion in der Cloud mit zwei, drei Klicks erledigt. Hingegen wird auch der gründlichste Archivar bei physisch abgelegten Briefen nicht darum herumkommen, Akten zu durchwühlen. Wo lag noch gleich diese Krankschreibung und jene Bewerbung?

Stichwort Bewerbung und zurück zum Löschen. Bewerbungen sind ein typisches Beispiel für besonders strikte Aufbewahrungsfristen. Wenn der Bewerber nicht explizit einer längeren Aufbewahrung zugestimmt hat, sollten seine Unterlagen spätestens sechs Monate nach einer Ablehnung gelöscht werden. Abmahnungen sollten maximal drei Jahre aufbewahrt werden, auch Krankschreibungen dürfen nicht ewig nach eigenem Gutdünken in den Personalakten verweilen. Alles gar nicht so einfach zu managen im stählernen Aktenschrank, der auch noch einige 1.000 Euro kostet. Abhilfe könnte hier ein effizienter, Cloud basierter Umstieg von analog, risikobehaftet und kostspielig zu digital, sicher und einfach sein.

Um nochmal zu verdeutlichen, wo sich Kosten und Risiko analog überall verstecken: „Löschen“ ist nicht gleich „löschen“. Murphy lauert beim Geschäftsbrief schon wieder an der nächsten Ecke. Papierdokumente müssen per Reißwolf nach zertifizierten Standards vernichtet werden. Auch bei diesem Vorgang sollte nicht jede x-beliebige Person Einblick in vermeintlich sensible Informationen erhalten. Bei digitalen Dokumenten, die auf dem eigenen Rechner gespeichert sind, gilt das Verschieben in den Papierkorb als Löschvorgang, aber: Schlussendlich ist erst das mehrfache sichere Überschreiben der Festplatte oder deren Vernichtung entscheidend. Der einfachste und günstigste Weg für einen wasserdichten Löschvorgang ist sicherlich das Ablegen digitaler Dokumente in der Cloud bei einem seriösen Anbieter. Wer Daten und Informationen dort löscht, ist mit einem Klick aus dem Schneider und hat Murphy ein Schnippchen geschlagen. Ganz ohne Reißwolf.

Der Autor Florian Eismann ist Gründer und Geschäftsführer der Bullet Global GmbH, dem DSGVO-konformen Dienstleister für das Digitalisieren, Archivieren und Verwalten von Briefpost.


Sie möchten selbst ein Unternehmen gründen oder sich nebenberuflich selbständig machen? Nutzen Sie jetzt Gründerberater.deDort erhalten Sie kostenlos u.a.:

  • Rechtsformen-Analyser zur Überprüfung Ihrer Entscheidung
  • Step-by-Step Anleitung für Ihre Gründung
  • Fördermittel-Sofort-Check passend zu Ihrem Vorhaben